Le botnet Prometei exploite les serveurs Microsoft Exchange non patchés

0

Les hackers exploitent les failles Proxylogon de Microsoft Exchange Server pour attaquer les machines vulnérables à un botnet nommé Prometei, selon une nouvelle recherche.

« Prometei exploite les vulnérabilités récemment divulguées de Microsoft Exchange associées aux attaques HAFNIUM pour pénétrer dans le réseau dans le but de déployer de logiciels malveillants, de récolter des informations d’identification et plus encore, » a déclaré la société de cybersécurité Cybereason dans une analyse résumant ses conclusions.

Documenté pour la première fois par Cisco Talos en Juillet 2020, Prometei est un botnet multi-modulaire, le groupe derrière cette opération utilise un large éventail d’outils spécialement conçus et d’exploits connus tels que EternalBlue et BlueKeep pour récolter des informations d’identification, se propager latéralement à travers le réseau et « augmenter la quantité de systèmes participant à son minage de Monero. »

« Prometei a à la fois des versions basées sur Windows et Linux-Unix, et il ajuste sa charge utile en fonction du système d’exploitation détecté sur les machines infectées lors de la propagation à travers le réseau, » a expliqué Lior Rochberger, chercheur de Cybereason, ajoutant qu’il est « construit pour interagir avec quatre différents serveurs de commande et de contrôle (C2) qui renforce l’infrastructure du botnet et maintient des communications continues, ce qui le rend plus résistant aux attaques. »

Les intrusions profitent des vulnérabilités récemment patchées dans les serveurs Microsoft Exchange dans le but d’abuser de la puissance de traitement des systèmes Windows pour extraire Monero.

prometei

Les versions récentes du module bot sont disponibles avec des capacités de porte dérobée qui prend en charge un vaste ensemble de commandes, y compris un module supplémentaire appelé « Microsoft Exchange Defender » qui se fait passer pour un produit Microsoft légitime, qui prend probablement soin de supprimer d’autres web shells concurrents qui peuvent être installés sur la machine afin que Prometei obtienne l’accès aux ressources nécessaires pour extraire la crypto-monnaie efficacement.

Fait intéressant, des preuves nouvellement découvertes recueillies à partir d’artefacts de VirusTotal a révélé que le botnet est présent depuis Mai 2016, ce qui implique que le malware a constamment évolué depuis, en ajoutant de nouveaux modules et techniques à ses capacités.

prometei

Prometei a été observé chez une multitude de victimes couvrant les secteurs de la finance, de l’assurance, de la vente au détail, de la fabrication, des services publics, des voyages et de la construction, compromettant des réseaux d’entités situées en France, aux États-Unis, au Royaume-Uni et dans plusieurs pays d’Europe, d’Amérique du Sud et d’Asie de l’Est, tout en évitant explicitement d’infecter des cibles dans les pays de l’ancien bloc soviétique.

On ne sait pas grand-chose sur les attaquants autres que le fait qu’ils sont russophones car des versions plus anciennes de Prometei contenant leur code de langue défini comme « russe ». Un module client de Tor distinct utilisé pour communiquer avec un serveur Tor de commande et de contrôle comprenait un fichier de configuration configuré pour éviter d’utiliser plusieurs nœuds de sortie situés en Russie, en Ukraine, au Bélarus et au Kazakhstan.

« Les acteurs de la cybercriminalité continuent d’adopter des techniques similaires à l’APT et d’améliorer l’efficacité de leurs opérations », a déclaré Lior Rochberger. « Comme on l’a observé lors des récentes attaques de Prometei, les pirates informatiques ont surfé la vague des vulnérabilités récemment découvertes de Microsoft Exchange et les ont exploitées afin de pénétrer les réseaux ciblés. »

« Cette menace pose un grand risque pour les organisations, puisque les attaquants ont un contrôle absolu sur les machines infectées, et s’ils le souhaitent, ils peuvent voler des informations, infecter les points de terminaison avec d’autres logiciels malveillants ou même collaborer avec les gangs de ransomware en vendant l’accès aux points de terminaison infectés, a-t-elle ajouté.

Laisser un commentaire